#1 05.06.06 12:38
Нестандартная задача по администрированию в win2k/win2k3
Есть, win2k/win2k3, есть AD, есть пользователь с правами входа только на определенные компьютеры в AD.
Проблема в том что параметр входа на определенные компьютеры работает не корректно, если указано что пользователь может войти в домен (получить доступ к ресурсам) с компьютера только vasya, то он может войти и получить доступ к ресурсам только с компьютера vaysa, НО компьютер vaysa может быть не только в домене но и в рабочей группе (!), и соответственно пользователь получит доступ к ресурсам с компьютера vaysa находящийся и в рабочей группе, вот в таком случаи нужно каким то образом организовать проверку.
Есть мысли как это сделать?
Исправлено TipTop (05.06.06 18:10)
Offline
#4 05.06.06 14:27
Re: Нестандартная задача по администрированию в win2k/win2k3
ПОЖАР написал(а):
otaku прав. У меня тоже такая фигня была пока всех в АД не вогнал.
да меня вообще один отдел на работе бесит, не хотят они видители быть в домене, хотят под админами на своих компах работать, а ещё и к доменовским ресурсам доступ иметь и в инет лазать!
Offline
#6 05.06.06 15:06
Re: Нестандартная задача по администрированию в win2k/win2k3
Народ, ну не хочется описывать всю инфоструктуру, но есть несколько причины по которым ну не как нельзя вводить некоторые компьютер в домен, одна из них это ноуты, с которыми народ очень часто шарохаеться по свету. Вот мне и нужно, организовать проверку для дальнейшего информирования, что человек зашел с компьютера находящийся в рабочей группе.
В общем народ пишите по делу…
Offline
#7 05.06.06 15:07
Re: Нестандартная задача по администрированию в win2k/win2k3
otaku написал(а):
да меня вообще один отдел на работе бесит, не хотят они видители быть в домене, хотят под админами на своих компах работать, а ещё и к доменовским ресурсам доступ иметь и в инет лазать!
В чем проблемма - пускай на своих компах их доменный юзер будет админом. Ничему же не противоречит.
Offline
#10 05.06.06 15:28
#11 05.06.06 15:35
#12 05.06.06 16:02
#13 05.06.06 16:05
Re: Нестандартная задача по администрированию в win2k/win2k3
TipTop написал(а):
otaku написал(а):
а почему ноуты нельзя?
Долго описывать...
Нужно решение задачи…
Если тебе нужно решение задачи, то описывай точнее. В частности опиши причину по которой нельзя ноуты в АД вгонять. Долго описывать??? Кому надо то это??? тебе или нам??? Опиши, не поленись.
Offline
#14 05.06.06 16:59
Re: Нестандартная задача по администрированию в win2k/win2k3
TipTop написал(а):
Есть мысли как это сделать?
создай пользователя который имеет права до нужных тебе русурсов
пароль логин отдай ноутбукщикам
пускай через него заходят на нужные ресурсы
я так захожу с компов которые не в домене
Offline
#15 05.06.06 17:10
#16 05.06.06 17:20
Re: Нестандартная задача по администрированию в win2k/win2k3
Женя, так и мы так заходим с ноутов через батник на сfsrv /printserv/.... с сетевым паролем юзера. вот уж чего я не понял , так это:
он может войти и получить доступ к ресурсам только с компьютера vaysa, НО компьютер vaysa может быть не только в домене но и в рабочей группе (!), и соответственно пользователь получит доступ к ресурсам к компьютера vaysa находящийся и в рабочей группе
а что в рабочей группе у компа вася больше ресурсов подцеплено?
Offline
#17 05.06.06 18:10
Re: Нестандартная задача по администрированию в win2k/win2k3
Описание почему не надо водить не относится к решению данной задачи
(Как понял, не совсем была понятна суть задачи.)
ЗАДАЧА: выявление пользователей работающих на компьютерах находящихся в рабочих группе, а не в AD, (пользователь, компьютер, ресурсы), а так же предотвращения захода пользователей с ноута, для которых не предназначена данная возможность.
Если изначально (в глобальном понимании) посмотреть, для чего было придуман AD и для чего ноут то встанет все на месте, понятно?
Если нет ноут это мобильность(!)
И дело не в том что нельзя, а в том что это не нужно (!), да и за чем мне компьютер если я не могу применять к нему политику компании, вносить изменении в систему и вообще для чего он мне в AD если он болтается по свету а?)
Если мне не нужен был доступ к ресурсам из под ноутов для определенных пользователей находящихся в AD (у каждого свой), то данной задачи бы не стояла.
otaku написал(а):
TipTop написал(а):
Есть мысли как это сделать?
создай пользователя который имеет права до нужных тебе русурсов
пароль логин отдай ноутбукщикам
пускай через него заходят на нужные ресурсы
я так захожу с компов которые не в домене
Да так и сделано.
Offline
#18 05.06.06 18:49
#19 06.06.06 09:37
#20 06.06.06 17:22
Re: Нестандартная задача по администрированию в win2k/win2k3
Мля, ну что ту не понятно…
Ведь ясно, что есть дырка в виде:
TipTop написал(а):
Есть в win2k/win2k3 в AD, параметр у пользователя "Вход на" то есть права входа только на определенные компьютеры в AD.
Проблема в том что параметр входа на определенные компьютеры работает не корректно, если указано что пользователь может войти в домен (получить доступ к ресурсам) с компьютера только vasya, то он может войти и получить доступ к ресурсам только с компьютера vaysa, НО компьютер vaysa может быть не только в домене но и в рабочей группе (!), и соответственно пользователь получит доступ к ресурсам с компьютера vaysa находящийся и в рабочей группе.
Теперь забудь про ноуты, представь, есть только компьютеры в сети введенные в домен и к ним применяется политика припядствуащая подключения сьемных носителей информации (usb, приводов нету).
Теперь есть злобный инсайдер, который хочет вынести много полезной информации. При данной политике это у него не получиться (Интернет не рассматривается в данном случаи), но у него есть возможность загрузиться с флешки или подцепить ноут с подделанным маком и залогинется в системе, при этом конечно указав в своей системе имя компьютера с которого он может входить в систему ну и соответственно скачать информацию на флешку или ноут. Так вот нужно вовремя обнаруживать, что пользователь работает из под рабочей группы. Хотя луче блокировать такую возможность.
Теперь понятно?
Offline
#21 06.06.06 17:41
#22 06.06.06 17:43
Re: Нестандартная задача по администрированию в win2k/win2k3
в общем так
этот пользователь не может получить доступ к твоим ресурсам по двум причинам, ему нужно узнать мак адресс, и ему нужно узнать доменное имя и пароль пользователя который имеет доступ к этим ресурсам, надеюсь расшаренны ресурсы у тебя для определенных пользователей а не для всех.
если у вас это легко узнаеться то ты не там строишь защиту
тогда тебе проще будет шифровать данные чтоб их не поперли!
Offline
#23 06.06.06 17:52
Re: Нестандартная задача по администрированию в win2k/win2k3
otaku написал(а):
в общем так
этот пользователь не может получить доступ к твоим ресурсам по двум причинам, ему нужно узнать мак адресс, и ему нужно узнать доменное имя и пароль пользователя который имеет доступ к этим ресурсам
Мля...читать текст нужно внимательно,. Инсайдер это видимо человек уже работает в компании и имеет доступ к конфиденциальной информации...но просто так он не может вынести данные...а может выше указанным способом, а узнать мак так вот тебе ipconfig /all
Offline
#24 06.06.06 17:56
Re: Нестандартная задача по администрированию в win2k/win2k3
otaku написал(а):
и ему нужно узнать доменное имя и пароль пользователя который имеет доступ к этим ресурсам
когда ты писал, думал что юзер-хакер --"приходящий".
а здесь скорее всего рассматривается , что юзер-хакер - это и есть тот юзер в домене, который знает свой пароль и логин.
Жень, только вот вопрос в другом: у нас МАК привязан же к розетке. а вот розетка или МАК привязаны ли к IP ? IP же у нас динамический......
Offline
#25 06.06.06 18:04
#26 06.06.06 19:07
Re: Нестандартная задача по администрированию в win2k/win2k3
brus написал(а):
когда ты писал, думал что юзер-хакер --"приходящий".
а здесь скорее всего рассматривается , что юзер-хакер - это и есть тот юзер в домене, который знает свой пароль и логин.
мда косяк
я так думаю если парень смышленный он без проблем утащит все что ему понадобиться
я так думаю надо тут копать с сторону политик доверия между доменами и группами
Offline
#27 07.06.06 10:08
Re: Нестандартная задача по администрированию в win2k/win2k3
TipTop написал(а):
а как ты можешь привязать mac к розетке, бантиком что ли?
Управляемый свич с возможностью биндить маки на порты.
Offline
